CN107770769B - 一种加密方法、网络侧设备及终端 - Google Patents

一种加密方法、网络侧设备及终端 Download PDF

Info

Publication number
CN107770769B
CN107770769B CN201610672046.7A CN201610672046A CN107770769B CN 107770769 B CN107770769 B CN 107770769B CN 201610672046 A CN201610672046 A CN 201610672046A CN 107770769 B CN107770769 B CN 107770769B
Authority
CN
China
Prior art keywords
terminal
group
algorithm
call service
network side
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610672046.7A
Other languages
English (en)
Other versions
CN107770769A (zh
Inventor
张玲
林秋丽
苏丽芳
由县卫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Datang Mobile Communications Equipment Co Ltd
Original Assignee
Datang Mobile Communications Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Datang Mobile Communications Equipment Co Ltd filed Critical Datang Mobile Communications Equipment Co Ltd
Priority to CN201610672046.7A priority Critical patent/CN107770769B/zh
Publication of CN107770769A publication Critical patent/CN107770769A/zh
Application granted granted Critical
Publication of CN107770769B publication Critical patent/CN107770769B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种加密方法、网络侧设备及终端,本发明实施例中网络侧设备依据组呼业务中各终端的加密算法能力和完保算法能力,确定群组密钥,所述群组密钥用于所述组呼业务中各终端进行组呼业务时对空口信令和空口数据进行加密;所述网络侧设备将所述群组密钥发送至所述组呼业务中的各终端。通过本发明实施例可实现集群组呼业务中的加密流程,进而保证空口信令和数据业务的安全性。

Description

一种加密方法、网络侧设备及终端
技术领域
本发明涉及移动通信领域,尤其涉及一种加密方法、网络侧设备及终端。
背景技术
长期演进(Long Term Evolution,LTE)网络作为一种新的无线移动通信技术,已被广泛应用。为了提供更加安全的移动通信业务,在LTE网络中需要保证信息传递的安全性和保密性。
目前,LTE网络中普遍采用点对点的加密过程,所述点对点的加密过程的实现方式如下:终端自身保存有根密钥,并信任本地用户服务器(Home Subscribe Server,HSS),故终端和HSS可共享根密钥。HSS和终端根据共享的根密钥派生出增强的基站(Evolved NodeB,eNB)的根密钥,并根据eNB的根密钥派生出其它密钥对空口信令进行加密。
上述点对点的加密过程并不适用于集群组呼业务,原因如下:集群组呼业务中需要实现一个终端和多个终端之间的通信,由于各个终端的根密钥不同,各个终端之间也未进行密钥协商,因此HSS无法根据众多不同的根密钥派生出一个供各终端共享的密钥。
故,如何实现集群组呼业务中的加密流程,以保证空口信令和数据业务的安全性,是急需解决的问题。
发明内容
本发明实施例提供一种加密方法、网络侧设备及终端,以实现集群组呼业务中的加密流程,保证空口信令和数据业务的安全性。
第一方面,本发明实施例提供一种加密方法,包括:
网络侧设备依据组呼业务中各终端的加密算法能力和完保算法能力,确定群组密钥,所述群组密钥用于所述组呼业务中各终端进行组呼业务时对空口信令和空口数据进行加密;
所述网络侧设备将所述群组密钥发送至所述组呼业务中的各终端。
本发明实施例提供的一种加密方法,网络侧设备依据组呼业务中各终端的加密算法能力和完保算法能力,确定群组密钥,可解决集群组呼业务中无法生成密钥的问题。
具体的,所述网络侧设备获取所述组呼业务中各终端发送的附着请求消息中携带的安全能力;
所述网路侧设备依据所述安全能力,确定所述组呼业务中各终端的加密算法和完保算法能力;
所述网络侧设备依据确定的所述组呼业务中各终端的加密算法和完保算法能力,协商得到所述组呼业务中各终端都支持的加密算法和完保算法;
所述网络侧设备依据协商得到的加密算法和完保算法,确定所述群组密钥。
其中,若确定的所述组呼业务中各终端的加密算法和完保算法能力中存在至少一个共同加密算法和完保算法,则所述网络侧设备将所述至少一个共同加密算法和完保算法中的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法;
若确定的所述组呼业务中各终端的加密算法和完保算法能力中不存在共同的加密算法和完保算法,则所述网络侧设备配置所述组呼业务中各终端都支持的加密算法和完保算法。
其中,所述网络侧设备依据所述至少两个共同加密算法和完保算法的优先级,选择优先级等级最高的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法。
具体的,所述网络侧设备通过非接入层NAS消息,将所述群组密钥发送至所述组呼业务中各终端。
更具体的,所述网络侧设备在非接入层NAS消息所包含的组信息更新命令消息中增加携带有所述群组密钥的信元,并通过增加了所述信元的组信息更新命令将所述群组密钥发送至所述组呼业务中各终端。
其中,所述网络侧设备通过在所述NAS消息所包含的组信息更新命令消息中增加群组信息、删除群组信息或修改群组信息,增加携带有所述群组密钥的信元。
第二方面,本发明实施例提供另一种加密方法,所述方法包括:
终端接收网络侧设备发送的群组密钥,所述群组密钥用于所述终端进行组呼业务时对空口信令和空口数据进行加密;
所述终端根据所述群组密钥,对空口信令和数据业务进行加密。
本发明实施例中,所述终端中每个终端根据所述群组密钥,对空口信令和数据业务进行加密,实现了组呼业务中空口信令和数据业务的加密。
具体的,所述终端通过非接入层NAS消息,接收网络侧设备发送的群组密钥。
其中,所述终端通过NAS消息中所包含的组信息更新命令消息消息,接收网络侧设备发送的群组密钥,所述组信息更新命令消息消息中包含携带所述群组密钥的信元。
本发明实施例中,通过在组信息更新命令消息中采用增加群组信息、删除群组信息或修改群组信息的方式增加携带有所述群组密钥的信元,可以利用NAS消息原本的动态重组过程,实现携带有所述群组密钥的信元的增加,并在发生群组更新或群组密钥更新时,能够及时的更新所述群组密钥。
第三方面,本发明实施例提供一种网络侧设备,包括:
处理单元,用于依据组呼业务中各终端的加密算法和完保算法能力,确定群组密钥,所述群组密钥用于所述组呼业务中各终端进行组呼业务时对空口信令和空口数据进行加密;
发送单元,用于将所述处理单元确定的所述群组密钥发送至所述组呼业务中各终端。
具体的,所述处理单元具体用于按如下方式依据所述组呼业务中各终端的加密算法和完保算法能力,协商得到所述组呼业务中各终端都支持的加密算法和完保算法:
若确定出所述组呼业务中各终端的加密算法和完保算法能力中存在至少一个共同加密算法和完保算法,则将所述至少一个共同加密算法和完保算法中的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法;
若确定出所述组呼业务中各终端的加密算法和完保算法能力中不存在共同的加密算法和完保算法,则配置所述组呼业务中各终端都支持的加密算法和完保算法。
其中,所述处理单元,具体用于按如下方式将所述至少一个共同加密算法和完保算法中的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法:
若确定的所述组呼业务中各终端的加密算法和完保算法能力中存在至少两个共同加密算法和完保算法,依据所述至少两个共同加密算法和完保算法的优先级,选择优先级等级最高的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法。
具体的,所述发送单元具体用于按如下方式将所述群组密钥发送至所述组呼业务中各终端:
通过非接入层NAS消息,将所述群组密钥发送至所述组呼业务中各终端,以使所述群组密钥可以安全顺利的传递到终端。
更具体的,所述发送单元具体用于按如下方式将所述群组密钥发送至所述组呼业务中各终端:
在NAS消息所包含的组信息更新命令消息中增加携带有所述群组密钥的信元,并通过增加了所述信元的组信息更新命令将所述群组密钥发送至所述组呼业务中各终端。
其中,所述发送单元具体用于按如下方式在所述NAS消息所包含的组信息更新命令消息中增加携带有所述群组密钥的信元:
通过在所述NAS消息所包含的组信息更新命令消息中增加群组信息、删除群组信息或修改群组信息,增加携带有所述群组密钥的信元。
第四方面,本发明实施例提供一种网终端,包括:
接收单元,用于接收网络侧设备发送的群组密钥,所述群组密钥用于所述终端进行组呼业务时对空口信令和空口数据进行加密;
加密单元,用于根据所述接收单元接收的群组密钥,对空口信令和数据业务进行加密。
具体的,所述接收单元具体用于按如下方式接收所述网络侧设备发送的群组密钥:
通过非接入层NAS消息,接收所述网络侧设备发送的群组密钥。
其中,所述接收单元具体用于按如下方式接收所述网络侧设备发送的群组密钥:
通过NAS消息中所包含的组信息更新命令消息消息,接收所述网络侧设备发送的群组密钥,所述组信息更新命令消息消息中包含携带所述群组密钥的信元。
附图说明
图1为本发明实施例提供的一种加密流程;
图2为本发明实施例提供的一种网络侧设备确定群组密钥并将所述群组密钥发送给终端的过程;
图3为本发明实施例提供的一种网络侧设备协商加密算法和完保算法的具体实施过程;
图4为本发明实施例提供的一种网络侧设备和终端的NAS消息交互过程;
图5为本发明实施例提供的一种组信息更新命令消息中所增加的消息;
图6为本发明实施例提供的一种组呼业务的加密流程;
图7为本发明实施例提供的一种网络侧设备的结构示意图;
图8为本发明实施例提供的另一种网络侧设备的结构示意图;
图9为本发明实施例提供的一种终端的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
为保证集群组呼业务中各终端之间的空口信令和数据业务的安全性,需要实现集群组呼业务中的加密流程。本发明实施例提供了一种加密流程,如图1所示:
S10:网络侧设备确定群组密钥。
本发明实施例中设定集群组呼业务中包括N个终端,所述N的取值是大于等于1的整数。本发明实施例中所述群组密钥用于终端1、终端2…终端N进行组呼业务时对空口信令和空口数据进行加密。
S11:网络侧设备将所述群组密钥发送至所述终端1、终端2…终端N。
S12:终端1、终端2…终端N接收网络侧设备发送的群组密钥,终端1、终端2…终端N根据接收到的所述群组密钥,对空口信令和数据业务进行加密。
可选的,本发明实施例中,网络侧设备可依据终端1、终端2…终端N的加密算法和完保算法能力得到所述群组密钥。
终端进行注册流程中,向核心网发送的附着请求消息中一般携带有安全能力,该安全能力中包括有终端的加密算法能力和完保算法能力,故本发明实施例中网络侧设备可从终端1、终端2…终端N发送的附着请求消息中携带的安全能力中确定终端1、终端2…终端N的加密算法能力和完保算法能力,并依据确定的各终端的加密算法能力和完保算法能力确定群组密钥。
本发明实施例中网络侧设备确定群组密钥并将所述群组密钥发送给终端的过程如图2所示,包括:
S20:终端1、终端2…终端N中每个终端向网络侧设备发送附着请求消息。
S21:网络侧设备接收携带安全能力的附着请求消息之后,根据所述安全能力,确定所述终端1、终端2…终端N中每个终端的加密算法能力和完保算法能力。
S22:网络侧设备依据确定的每个终端的加密算法能力和完保算法能力,协商得到每个终端都支持的加密算法和完保算法。
S23:网络侧设备依据协商得到的每个终端都支持的加密算法和完保算法,确定所述群组密钥。
S24:网络侧设备将所述群组密钥发送给所述终端1、终端2…终端N中的每个终端。
本发明实施例,网络侧设备通过加密算法能力和完保算法能力的协商,得到每个终端都支持的加密算法和完保算法,再根据所述每个终端都支持的加密算法和完保算法,确定出所述群组密钥,可解决集群组呼业务中密钥无法生成的问题。
本发明实施例中,网络侧设备依据所述终端1、终端2…终端N中每个终端的加密算法能力和完保算法能力,协商得到所述终端1、终端2…终端N中每个终端都支持的加密算法和完保算法的具体实施过程如图3所示,包括:
网络侧设备判断确定出的加密算法能力和完保算法能力中是否存在共同的加密算法和完保算法(S30)。若不存在,则网络侧设备配置所述终端1、终端2…终端N中每个终端都支持的加密算法和完保算法(S31);若存在共同的加密算法和完保算法,则判断所述共同的加密算法和完保算法的数量(S32),若只有一个共同的加密算法和完保算法,则将所述共同的加密算法和完保算法作为所述终端1、终端2…终端N中每个终端都支持的加密算法和完保算法(S33)。若存在至少两个共同的加密算法和完保算法,则可设置所述至少两个共同的加密算法和完保算法的优先级,具体设置优先级的方式本发明实施例不做限定,例如所述网络侧设备可根据本地的优先级策略进行配置。网络侧设备确定存在至少两个共同加密算法和完保算法情况下,可依据所述至少两个共同的加密算法和完保算法的优先级,选择优先级等级最高的一个加密算法和完保算法,作为所述终端1、终端2…终端N中每个终端都支持的加密算法和完保算法(S34)。
具体的,所述终端1、终端2…终端N需要进行集群业务时,首先所述终端1、终端2…终端N中每个终端都会向所述网络侧设备发送组信息更新请求消息,当所述网络侧设备收到所述终端1、终端2…终端N中每个终端的组信息更新请求消息之后,所述网络侧设备会下发组信息更新命令消息,然后所述终端1、终端2…终端N中每个终端会向所述网络侧设备发送组信息更新响应消息。上述过程可称为组信息更新过程,组信息更新过程是在LTE网络的非接入层(Non-Access Stratum,NAS)进行的,所述上述组信息更新过程也可称为NAS流程。所述NAS流程中的组信息更新请求消息、组信息更新命令消息和组信息更新响应消息统称为NAS消息。本发明实施例中所述网络侧设备可以通过NAS消息,将所述群组密钥发送至所述终端1、终端2…终端N中的每个终端,以使所述群组密钥可以安全顺利的传递到终端。
进一步的,所述网络侧设备通过NAS消息,将所述群组密钥发送至所述终端1、终端2…终端N中每个终端,所述终端1、终端2…终端N再完成接收的具体实现过程如图4所示:所述网络侧设备在NAS消息所包含的组信息更新命令消息中增加携带有所述群组密钥的信元,并向所述终端1、终端2…终端N中每个终端发送携带有所述群组密钥的组信息更新命令消息(S40),按上述方法,所述网络侧设备可以通过增加了所述信元的组信息更新命令将所述群组密钥发送至所述终端1、终端2…终端N中的每个终端。所述终端1、终端2…终端N中每个终端会接收到携带有所述群组密钥的组信息更新命令消息(S41)。
具体的,网络侧设备可通过如图5所示的方式在所述NAS消息所包含的组信息更新命令消息中增加携带有所述群组密钥的信元。图5中,网络侧设备通过在所述NAS消息所包含的组信息更新命令消息中增加群组信息、删除群组信息或修改群组信息的方式增加携带有所述群组密钥的信元。
本发明实施例中,通过在组信息更新命令消息中采用增加群组信息、删除群组信息或修改群组信息的方式增加携带有所述群组密钥的信元,可以利用NAS消息原本的动态重组过程,实现携带有所述群组密钥的信元的增加,并在发生群组更新或群组密钥更新时,能够及时的更新所述群组密钥。
具体的,本发明实施例中采用上述实施例涉及的加密方法实现组呼业务中加密流程如图6所示,包括:
S60、终端1、终端2…终端N中每个终端向所述网络侧设备发送附着请求消息,所述附着请求消息中携带有所述终端1、终端2…终端N中每个终端的安全能力。
S61、所述网络侧设备依据所述安全能力,确定所述终端1、终端2…终端N中每个终端算法能力的加密算法和完保算法能力。
S62、所述网络侧设备依据确定的所述终端1、终端2…终端N中每个终端的加密算法能力和完保算法能力,协商得到所述终端1、终端2…终端N中每个终端都支持的加密算法和完保算法。
S63、所述网络侧设备依据协商得到的加密算法和完保算法,确定所述群组密钥。
S64、所述网络侧设备下发组信息更新命令消息,所述组信息更新命令消息中携带有所述群组密钥的信元。
S65、所述终端1、终端2…终端N中每个终端接收所述携带有所述群组密钥的信元的组信息更新命令消息,根据所述群组密钥,对空口信令和数据业务进行加密。
本发明实施例中,网络侧设备依据所述组呼业务中各终端的加密算法和完保算法能力,协商得到所述组呼业务中各终端都支持的加密算法和完保算法,再根据所述每个终端都支持的加密算法和完保算法,可确定出所述群组密钥,解决了集群组呼业务中密钥无法产出的问题。所述终端1、终端2…终端N中每个终端根据所述群组密钥,对空口信令和数据业务进行加密,实现了组呼业务中空口信令和数据业务的加密。
基于上述实施例提供的加密方法,本发明实施例提供一种网络侧设备,该设备可以应用于组呼业务中,图7所示为本发明实施例提供的网络侧设备的结构示意图,如图7所示,该设备包括处理单元71和发送单元72,其中:
处理单元71,用于依据组呼业务中各终端的加密算法和完保算法能力,确定群组密钥,所述群组密钥用于所述组呼业务中各终端进行组呼业务时对空口信令和空口数据进行加密。
发送单元72,用于将所述处理单元71确定的所述群组密钥发送至所述组呼业务中各终端。
进一步的,所述网络侧设备还包括获取单元73,所述获取单元73,如图8所示,所述获取单元用于:获取所述组呼业务中各终端发送的附着请求消息中携带的安全能力。
具体的,所述处理单元71,用于:依据所述获取单元73获取的安全能力,确定所述组呼业务中各终端的加密算法和完保算法能力;依据确定的所述组呼业务中各终端的加密算法和完保算法能力,协商得到所述组呼业务中各终端都支持的加密算法和完保算法;依据协商得到的加密算法和完保算法,确定所述群组密钥。
其中,所述处理单元71进行的协商过程如下:
若确定出所述组呼业务中各终端的加密算法和完保算法能力中存在至少一个共同加密算法和完保算法,则将所述至少一个共同加密算法和完保算法中的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法。
若确定出所述组呼业务中各终端的加密算法和完保算法能力中不存在共同的加密算法和完保算法,则配置所述组呼业务中各终端都支持的加密算法和完保算法。
其中,所述处理单元71,具体用于:
若确定的所述组呼业务中各终端的加密算法和完保算法能力中存在至少两个共同加密算法和完保算法,依据所述至少两个共同加密算法和完保算法的优先级,选择优先级等级最高的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法。
具体的,所述发送单元72用于:通过NAS消息,将所述群组密钥发送至所述组呼业务中各终端。
其中,所述发送单元72用于:通过在NAS消息所包含的组信息更新命令消息中增加携带有所述群组密钥的信元,并通过增加了所述信元的组信息更新命令将所述群组密钥发送至所述组呼业务中各终端。
具体的,所述发送单元72用于:通过在所述NAS消息所包含的组信息更新命令消息中增加群组信息、删除群组信息或修改群组信息,增加携带有所述群组密钥的信元,并将所述群组密钥发送至所述组呼业务中各终端。
本发明实施例上述涉及的网络侧设备,可以是独立的部件,也可以是集成于其他部件中,例如本发明实施例提供的上述网络侧设备可以是LTE网络中的独立的设备,也可以是集成于核心网内部的部件。
需要说明的是,本发明实施例中的网络侧设备的各个单元的功能实现以及交互方式可以进一步参照相关方法实施例的描述,在此不再赘述。
本发明实施例还提供一种终端,图9为本发明实施例提供的终端的结构示意图,如图9所示,该终端包括接收单元81和加密单元82,其中:
接收单元81,用于接收网络侧设备发送的群组密钥,所述群组密钥用于所述终端进行组呼业务时对空口信令和空口数据进行加密;
加密单元82,用于根据所述接收单元81接收的群组密钥,对空口信令和数据业务进行加密。
具体的,所述接收单元81具体用于:
通过非接入层NAS消息,接收所述网络侧设备发送的群组密钥。
其中,所述接收单元具体用于:
通过NAS消息中所包含的组信息更新命令消息消息,接收所述网络侧设备发送的群组密钥,所述组信息更新命令消息消息中包含携带所述群组密钥的信元。
可以理解的是,本实施例的终端可用于实现上述方法实施例中涉及的所有功能,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (18)

1.一种加密方法,其特征在于,所述方法包括:
网络侧设备依据组呼业务中各终端的加密算法能力和完保算法能力,确定群组密钥,所述群组密钥用于所述组呼业务中各终端进行组呼业务时对空口信令和空口数据进行加密;
所述网络侧设备将所述群组密钥发送至所述组呼业务中的各终端;
所述网络侧设备依据组呼业务中各终端的加密算法能力和完保算法能力,确定群组密钥,包括:
所述网络侧设备获取所述组呼业务中各终端发送的附着请求消息中携带的安全能力;
所述网络侧设备依据所述安全能力,确定所述组呼业务中各终端的加密算法和完保算法能力;
所述网络侧设备依据确定的所述组呼业务中各终端的加密算法和完保算法能力,协商得到所述组呼业务中各终端都支持的加密算法和完保算法;
所述网络侧设备依据协商得到的加密算法和完保算法,确定所述群组密钥。
2.如权利要求1所述的方法,其特征在于,所述网络侧设备依据所述组呼业务中各终端的加密算法和完保算法能力,协商得到所述组呼业务中各终端都支持的加密算法和完保算法,包括:
若确定的所述组呼业务中各终端的加密算法和完保算法能力中存在至少一个共同加密算法和完保算法,则所述网络侧设备将所述至少一个共同加密算法和完保算法中的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法;
若确定的所述组呼业务中各终端的加密算法和完保算法能力中不存在共同的加密算法和完保算法,则所述网络侧设备配置所述组呼业务中各终端都支持的加密算法和完保算法。
3.如权利要求2所述的方法,其特征在于,所述确定的所述组呼业务中各终端的加密算法和完保算法能力中存在至少两个共同加密算法和完保算法,所述网络侧设备将所述至少两个共同加密算法和完保算法中的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法,包括:
所述网络侧设备依据所述至少两个共同加密算法和完保算法的优先级,选择优先级等级最高的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法。
4.如权利要求1至3任一项所述的方法,其特征在于,所述网络侧设备将所述群组密钥发送至所述组呼业务中各终端,包括:
所述网络侧设备通过非接入层NAS消息,将所述群组密钥发送至所述组呼业务中各终端。
5.如权利要求1所述的方法,其特征在于,所述网络侧设备将所述群组密钥发送至所述组呼业务中各终端,包括:
所述网络侧设备在非接入层NAS消息所包含的组信息更新命令消息中增加携带有所述群组密钥的信元,并通过增加了所述信元的组信息更新命令将所述群组密钥发送至所述组呼业务中各终端。
6.如权利要求5所述的方法,其特征在于,所述网络侧设备在所述NAS消息所包含的组信息更新命令消息中增加携带有所述群组密钥的信元,包括:
所述网络侧设备通过在所述NAS消息所包含的组信息更新命令消息中增加群组信息、删除群组信息或修改群组信息,增加携带有所述群组密钥的信元。
7.一种加密方法,其特征在于,所述方法包括:
终端接收网络侧设备发送的群组密钥,所述群组密钥用于所述终端进行组呼业务时对空口信令和空口数据进行加密;
所述终端根据所述群组密钥,对空口信令和数据业务进行加密;
其中,所述群组秘钥为所述网络侧设备获取所述组呼业务中各终端发送的附着请求消息中携带的安全能力;所述网络侧设备依据所述安全能力,确定所述组呼业务中各终端的加密算法和完保算法能力;所述网络侧设备依据确定的所述组呼业务中各终端的加密算法和完保算法能力,协商得到所述组呼业务中各终端都支持的加密算法和完保算法;所述网络侧设备依据协商得到的加密算法和完保算法确定的。
8.如权利要求7所述的方法,其特征在于,所述终端接收网络侧设备发送的群组密钥,包括:
所述终端通过非接入层NAS消息,接收网络侧设备发送的群组密钥。
9.如权利要求7或8所述的方法,其特征在于,所述终端接收网络侧设备发送的群组密钥,包括:
所述终端通过NAS消息中所包含的组信息更新命令消息,接收网络侧设备发送的群组密钥,所述组信息更新命令消息中包含携带所述群组密钥的信元。
10.一种网络侧设备,其特征在于,包括:
处理单元,用于依据组呼业务中各终端的加密算法和完保算法能力,确定群组密钥,所述群组密钥用于所述组呼业务中各终端进行组呼业务时对空口信令和空口数据进行加密;
发送单元,用于将所述处理单元确定的所述群组密钥发送至所述组呼业务中各终端;
所述网络侧设备还包括获取单元,
所述获取单元,用于获取所述组呼业务中各终端发送的附着请求消息中携带的安全能力;
所述处理单元,具体用于按如下方式依据组呼业务中各终端的加密算法和完保算法能力,确定群组密钥:
依据所述获取单元获取的安全能力,确定所述组呼业务中各终端的加密算法和完保算法能力;
依据确定的所述组呼业务中各终端的加密算法和完保算法能力,协商得到所述组呼业务中各终端都支持的加密算法和完保算法;
依据协商得到的加密算法和完保算法,确定所述群组密钥。
11.如权利要求10所述的网络侧设备,其特征在于,所述处理单元具体用于按如下方式依据所述组呼业务中各终端的加密算法和完保算法能力,协商得到所述组呼业务中各终端都支持的加密算法和完保算法:
若确定出所述组呼业务中各终端的加密算法和完保算法能力中存在至少一个共同加密算法和完保算法,则将所述至少一个共同加密算法和完保算法中的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法;
若确定出所述组呼业务中各终端的加密算法和完保算法能力中不存在共同的加密算法和完保算法,则配置所述组呼业务中各终端都支持的加密算法和完保算法。
12.如权利要求11所述的网络侧设备,其特征在于,所述处理单元,具体用于按如下方式将所述至少一个共同加密算法和完保算法中的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法:
若确定的所述组呼业务中各终端的加密算法和完保算法能力中存在至少两个共同加密算法和完保算法,依据所述至少两个共同加密算法和完保算法的优先级,选择优先级等级最高的一个加密算法和完保算法,作为所述组呼业务中各终端都支持的加密算法和完保算法。
13.如权利要求10至12任一项所述的网络侧设备,其特征在于,所述发送单元具体用于按如下方式将所述群组密钥发送至所述组呼业务中各终端:
通过非接入层NAS消息,将所述群组密钥发送至所述组呼业务中各终端。
14.如权利要求10所述的网络侧设备,其特征在于,所述发送单元具体用于按如下方式将所述群组密钥发送至所述组呼业务中各终端:
在非接入层NAS消息所包含的组信息更新命令消息中增加携带有所述群组密钥的信元,并通过增加了所述信元的组信息更新命令将所述群组密钥发送至所述组呼业务中各终端。
15.如权利要求14所述的网络侧设备,其特征在于,所述发送单元具体用于按如下方式在所述NAS消息所包含的组信息更新命令消息中增加携带有所述群组密钥的信元:
通过在所述NAS消息所包含的组信息更新命令消息中增加群组信息、删除群组信息或修改群组信息,增加携带有所述群组密钥的信元。
16.一种终端,其特征在于,包括:
接收单元,用于接收网络侧设备发送的群组密钥,所述群组密钥用于所述终端进行组呼业务时对空口信令和空口数据进行加密;
加密单元,用于根据所述接收单元接收的群组密钥,对空口信令和数据业务进行加密;
其中,所述群组秘钥为所述网络侧设备获取所述组呼业务中各终端发送的附着请求消息中携带的安全能力;所述网络侧设备依据所述安全能力,确定所述组呼业务中各终端的加密算法和完保算法能力;所述网络侧设备依据确定的所述组呼业务中各终端的加密算法和完保算法能力,协商得到所述组呼业务中各终端都支持的加密算法和完保算法;所述网络侧设备依据协商得到的加密算法和完保算法确定的。
17.如权利要求16所述的终端,其特征在于,所述接收单元具体用于按如下方式接收所述网络侧设备发送的群组密钥:
通过非接入层NAS消息,接收所述网络侧设备发送的群组密钥。
18.如权利要求16或17所述的终端,其特征在于,所述接收单元具体用于按如下方式接收所述网络侧设备发送的群组密钥:
通过NAS消息中所包含的组信息更新命令消息,接收所述网络侧设备发送的群组密钥,所述组信息更新命令消息中包含携带所述群组密钥的信元。
CN201610672046.7A 2016-08-15 2016-08-15 一种加密方法、网络侧设备及终端 Active CN107770769B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610672046.7A CN107770769B (zh) 2016-08-15 2016-08-15 一种加密方法、网络侧设备及终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610672046.7A CN107770769B (zh) 2016-08-15 2016-08-15 一种加密方法、网络侧设备及终端

Publications (2)

Publication Number Publication Date
CN107770769A CN107770769A (zh) 2018-03-06
CN107770769B true CN107770769B (zh) 2020-05-12

Family

ID=61260976

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610672046.7A Active CN107770769B (zh) 2016-08-15 2016-08-15 一种加密方法、网络侧设备及终端

Country Status (1)

Country Link
CN (1) CN107770769B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112954610B (zh) * 2019-11-22 2022-07-26 成都鼎桥通信技术有限公司 一种群组信令的传输方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103369523A (zh) * 2013-07-18 2013-10-23 成都鼎桥通信技术有限公司 一种提高群组下行安全性的方法
CN103813272A (zh) * 2012-11-14 2014-05-21 普天信息技术研究院有限公司 一种集群组呼下行传输的方法
CN104010276A (zh) * 2013-02-27 2014-08-27 中兴通讯股份有限公司 一种宽带集群系统的组密钥分层管理方法、系统和终端
CN105451195A (zh) * 2014-07-25 2016-03-30 成都鼎桥通信技术有限公司 端到端集群密钥分发方法和核心网设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103813272A (zh) * 2012-11-14 2014-05-21 普天信息技术研究院有限公司 一种集群组呼下行传输的方法
CN104010276A (zh) * 2013-02-27 2014-08-27 中兴通讯股份有限公司 一种宽带集群系统的组密钥分层管理方法、系统和终端
CN103369523A (zh) * 2013-07-18 2013-10-23 成都鼎桥通信技术有限公司 一种提高群组下行安全性的方法
CN105451195A (zh) * 2014-07-25 2016-03-30 成都鼎桥通信技术有限公司 端到端集群密钥分发方法和核心网设备

Also Published As

Publication number Publication date
CN107770769A (zh) 2018-03-06

Similar Documents

Publication Publication Date Title
US11570617B2 (en) Communication method and communications apparatus
US20200228977A1 (en) Parameter Protection Method And Device, And System
EP3565210B1 (en) Method, relevant device and system for processing network key
EP2663107A1 (en) Key generating method and apparatus
AU2017413023A1 (en) Communication method and related apparatus
JP7389225B2 (ja) セキュリティ保護モードを決定するための方法および装置
JP6904363B2 (ja) システム、基地局、コアネットワークノード、及び方法
KR20200003108A (ko) 키 생성 방법, 사용자 장비, 장치, 컴퓨터 판독가능 저장 매체, 및 통신 시스템
CN110637442A (zh) 终端信息的传递方法及相关产品
CN105323231A (zh) 安全算法选择方法、装置及系统
US20150319618A1 (en) Communication security processing method, and apparatus
JP7414796B2 (ja) 情報送信方法、鍵生成方法、及び機器
EP3952374B1 (en) Communication method and apparatus
CN116601985A (zh) 一种安全上下文生成方法、装置及计算机可读存储介质
CN107770769B (zh) 一种加密方法、网络侧设备及终端
EP3809632A1 (en) Data transmission method and device
EP3190856A2 (en) Communications method, device, and system
WO2022237561A1 (zh) 一种通信方法及装置
EP4391614A1 (en) Communication method, apparatus and system
CN106954210B (zh) 一种空口标识的保护方法及装置
KR20230016662A (ko) 키 네고시에이션 방법, 장치 및 시스템
CN117376863A (zh) V2x策略请求方法及装置
CN116325840A (zh) 一种密钥推衍方法及其装置、系统
CN116349326A (zh) 无线通信方法、设备及存储介质
CN118614099A (zh) 基于tls-psk的用于接入边缘数据网络的认证机制

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant